Backdoor w chińskim sprzęcie medycznym. Luka umożliwia dostęp do danych pacjentów

Chodzi o sprzęt o nazwie Contec CMS8000. Jest to kardiomonitor, który służy do bieżącego sprawdzania funkcji życiowych osoby do niego podłączonej: mierzy on m.in. parametry pracy serca, oddychania, natlenienia krwi oraz ciśnienia i jest powszechnie dostępny na rynku medycznym w cenie ok. 5 tys. zł. Okazuje się, że nawet w tego typu wyposażeniu można ukryć backdoora.

Urządzenie zostało przebadane przez amerykańską Agencję ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Jak się okazało, Contec CMS8000 łączy się z adresem IP należącym do nieujawnionego z nazwy uniwersytetu. CISA podaje, że poprzez wspomniane połączenie możliwe jest pobieranie danych ze sprzętu, a także uruchamianie na nim niezweryfikowanych, czyli w zasadzie dowolnych plików. Co gorsza, dostęp ten pozwala na nadpisywanie danych zapisanych w urządzeniu, to zaś przekłada się na niemożność ich odczytu przez obsługę w placówkach medycznych. Innymi słowy, luka stanowi poważne zagrożenie dla zdrowia i życia pacjentów, gdyż potencjalnie uniemożliwia monitorowanie stanu ich zdrowia w czasie.

Badacze nie ujawnili, której placówki naukowej dotyczy raport. Oficjalnie wiadomo, że jest to jeden z uniwersytetów. Przyczyną jest fakt, że po prostu nie wiadomo, jaka jest jego rola i czy ma on jakiekolwiek powiązania z producentem sprzętu. Być może po prostu infrastruktura tej jednostki pełni rolę pośrednika w całym procederze i tym samym rzeczony uniwersytet sam jest ofiarą.

Luka została wykryta wskutek anonimowego zgłoszenia, jakie wpłynęło do amerykańskiej instytucji. Po opublikowaniu raportu producent urządzenia Contec CMS8000, czyli firma Contec Medical Systems, nie zabrała głosu w sprawie backdoora. Agencja CISA jednak podkreśla, że każda z trzech przebadanych przez nią wersji oprogramowania umożliwiała nieautoryzowany dostęp, a rzeczony software pochodził bezpośrednio od Chińczyków.

Na ten moment Amerykanie zalecają odłączenie monitorów Contec CMS8000 od internetu poprzez odcięcie dostępu do wszystkich sieci bezprzewodowych oraz odpięcie kabli Etnernet. Jeśli to nie jest możliwe, Contec CMS8000 powinien zostać wyłączony. Nic nie wiadomo również na temat ewentualnej poprawki oprogramowania, która zlikwidowałaby wykrytą podatność.